Domov Securitywatch Nepozeraj sa teraz! google glass pwned podľa low qr code

Nepozeraj sa teraz! google glass pwned podľa low qr code

Video: Apple Glass — умные очки от «яблока» и убийца Google Glass (November 2024)

Video: Apple Glass — умные очки от «яблока» и убийца Google Glass (November 2024)
Anonim

Začiatkom tohto týždňa sme písali o tom, ako by sa niektoré funkcie Google Glass mohli použiť ako vektory útoku. Výborne čitateľ, už sa to stalo: Služba Lookout oznámila, že v aplikácii Google Glass objavila kritickú zraniteľnosť. Našťastie spoločnosť Google problém už vyriešila.

Hlavný bezpečnostný analytik programu Lookout, Marc Rogers, povedal spoločnosti SecurityWatch, že zistila chybu pri spracovaní QR kódov nositeľným počítačom. Vzhľadom na obmedzené používateľské rozhranie spoločnosti Glass spoločnosť Google nastavila kameru zariadenia tak, aby automaticky spracovala akýkoľvek QR kód na fotografii.

„Zoči-voči tomu je to skutočne vzrušujúci vývoj, “ povedal Rogers. „Problémom však je okamih, keď Glass uvidí príkazový kód, ktorý rozpozná, vykoná ho.“ Vďaka týmto poznatkom bola spoločnosť Lookout schopná vytvoriť škodlivé kódy QR, ktoré nútili spoločnosť Glass vykonávať akcie bez vedomia používateľa.

Odlievané sklo a škodlivé Wi-Fi

Prvý vytvorený škodlivý kód QR Lookout by inicioval "Glass-cast" bez vedomia používateľa. V prípade nezasvätených strán zariadenie Glass-casting zdieľa všetko, čo sa objaví na obrazovke Google Glass, na spárovanom zariadení Bluetooth.

Rogers poukázal na to, že to bola vlastne výkonná funkcia. „Ak sa pozriete na sklenené používateľské rozhranie, môže ho nosiť iba jedna osoba, “ vysvetlil. S Glass-cast môže nositeľ zdieľať svoj názor s ostatnými ľuďmi. Škodlivý QR kód programu Lookout však spustil program Glass-cast úplne bez vedomia používateľa.

Aj keď myšlienka niekoho, kto si môže pozrieť obrazovku tak blízko na vašu tvár, je veľmi znepokojujúca, útok má určité zjavné obmedzenia. V prvom rade by útočník musel byť dostatočne blízko na to, aby prijal prenos cez Bluetooth. Útočník by navyše musel spárovať svoje zariadenie Bluetooth so svojím sklom Google Glass, čo by vyžadovalo fyzický prístup. Aj keď Rogers poukazuje na to, že by to nebolo ťažké, pretože Glass „nemá uzamknutú obrazovku a môžete to potvrdiť iba ťuknutím.“

Viac znepokojujúce bolo vytvorenie druhého škodlivého kódu QR Lookout, ktorý prinútil spoločnosť Glass, aby sa hneď po naskenovaní pripojila k určenej sieti Wi-Fi. „Aj keď si to Glass neuvedomí, je pripojený k svojmu prístupovému bodu a môže vidieť vašu komunikáciu, “ povedal Rogers. Scenár urobil o krok ešte ďalej a povedal, že útočník by mohol „reagovať s zraniteľnosťou webu a v tom okamihu je Glass napadnutý“.

Toto sú iba príklady, ale základným problémom je to, že spoločnosť Google nikdy nezohľadňovala scenáre, v ktorých by používatelia nevedomky fotografovali QR kód. Útočník by mohol jednoducho vložiť škodlivý kód QR do obľúbeného turistického miesta alebo ho vyzdvihnúť ako lákavé. Bez ohľadu na spôsob doručenia by bol výsledok pre používateľa neviditeľný.

Google na záchranu

Keď služba Lookout zistila túto chybu zabezpečenia, oznámila to spoločnosti Google, ktorá do dvoch týždňov vytlačila opravu. „Je to dobré znamenie, že spoločnosť Google riadi tieto zraniteľné miesta a považuje ich za problém so softvérom, “ uviedol Rogers. „Môžu ticho vydávať aktualizácie a opravovať zraniteľné miesta skôr, ako si používatelia budú tento problém vedomí.“

V novej verzii softvéru Glass musíte prejsť do ponuky príslušných nastavení, aby sa mohol uplatniť kód QR. Napríklad, ak chcete použiť QR kód na pripojenie k sieti Wi-Fi, musíte sa najprv nachádzať v ponuke nastavení siete. Glass tiež teraz informuje používateľa o tom, čo robí QR kód, a pred jeho vykonaním požiada o povolenie.

Tento nový systém predpokladá, že viete, čo urobí QR kód, skôr ako ho naskenujete, čo zjavne Google zamýšľa od začiatku. Spoločnosť Google okrem spoločnosti Glass vytvorila sprievodnú aplikáciu pre telefóny so systémom Android, ktorá vytvára kódy QR, aby používatelia mohli rýchlo nakonfigurovať svoje zariadenia Glass. Google jednoducho nepredvídal QR kódy ako cestu k útoku.

V budúcnosti

Keď som hovoril s Rogersom, bol veľmi optimistický, pokiaľ ide o budúcnosť Glassu a podobné výrobky. Uviedol, že rýchlosť reakcie spoločnosti Google a ľahkosť, s akou bola aktualizácia zavedená, sú príkladné. Nemôžem si však pomôcť, ale pozerať sa na zlomený ekosystém Android a obávať sa, že s budúcimi zariadeniami a slabými miestami sa nebude zaobchádzať tak obratne.

Rogers porovnával problémy so sklom s problémami, ktoré sa vyskytli v zdravotníckych pomôckach, ktoré boli objavené pred rokmi, ale ešte neboli úplne vyriešené. "Nemôžeme spravovať ako statický hardvér s firmvérom, ktorý nikdy neaktualizujeme, " uviedol. "Musíme byť obratní."

Napriek optimizmu mal Rogers pár slov opatrne. „Nové veci znamenajú nové zraniteľné miesta, “ uviedol. „Zlí chlapci sa prispôsobujú a skúšajú rôzne veci.“

Nepozeraj sa teraz! google glass pwned podľa low qr code